概要
PC/スマートデバイス(Windows10,iOS,Androidなど)から社内LAN(192.168.1.0/24)への通信を実現するための、 IX2106とVPN接続の設定を行います。また、本設定例ではVPN接続時のユーザ認証を行うために、ソリトンシステムズ社のRADIUSサーバ「NetAttest EPS」と連携した設定例となります。

・IXと端末との間でVPNを構築します。
・VPN接続するユーザの認証を行うため、RADIUSサーバのNetAttest EPSと連携して認証を行います。
・NetAttest EPS側でユーザ認証の際に使用するパスワードはワンタイムパスワード方式にてVPN接続毎にユーザへ割り当てます。
・端末へ払い出すIPアドレスはRADIUSサーバから192.168.1.10を払い出す設定例になります。

ルータのコンフィグモードに入るには、
Router# enable-config
と入力します。

以下の設定をそのまま投入します。
(ご自身の環境に合わせてIPアドレスは変更してください。)

• 本設定例では、IXルータに複数のプロポーザル（暗号化・認証方式の使用可能な組み合わせ）を設定することにより、端末がIXルータへ通知するいずれかのプロポーザルで接続可能となることを想定しています。
• VPNクライアントをNAT環境で利用する構成も想定されるため、あらかじめNATトラバーサル機能を有効化しています。
• IXルータでは、L2TP（PPP）によるユーザ認証方式として「PAP」、「CHAP」のいずれかを指定することができます（本例では 「PAP」を選択）。また本設定例では、RADIUSサーバから端末に対してLAN内のアドレスを払い 出す設定を行っています。
  ※LAN内に存在する他の端末とアドレスが重複しないように注意してください。
• tunnel mode l2tp ipsecコマンドの有効化には装置の再起動が必要です。

logging subsystem all warn
logging timestamp datetime
logging buffered
!
aaa enable
aaa authentication ppp ppp-auth group radius
aaa authorization network ppp-author group radius
aaa accounting send stop-record authentication-failure
aaa accounting network acc-list1 start-stop local group radius
!
radius host ip 192.168.1.2 key 0 secret source Loopback0.0
!
ip route default 10.10.10.254
ip access-list sec-list permit ip src any dest any
!
ike nat-traversal
!
ike proposal ike-prop1 encryption aes-256 hash sha group 1024-bit
ike proposal ike-prop2 encryption aes hash sha group 1024-bit
ike proposal ike-prop3 encryption 3des hash sha group 1024-bit
!
ike policy ike-policy peer any key himitsu ike-prop1,ike-prop2,ike-prop3
!
ipsec autokey-proposal ipsec-prop1 esp-aes-256 esp-sha
ipsec autokey-proposal ipsec-prop2 esp-aes esp-sha
ipsec autokey-proposal ipsec-prop3 esp-3des esp-sha
!
ipsec dynamic-map ipsec-policy sec-list ipsec-prop1,ipsec-prop2,ipsec-prop3
!
ppp profile lns
  accounting list acc-list1
  authentication list ppp-auth
  authentication request pap
  authorization list ppp-author
  lcp pfc
  lcp acfc
  ipcp ip-compression
!
interface GigaEthernet0.0
ip address 10.10.10.1/24
no shutdown
!
interface GigaEthernet1.0
ip address 192.168.1.254/24
ip proxy-arp
no shutdown
!
interface Loopback0.0
ip address 192.168.1.1/32
!
※接続する端末台数分Tunnelの設定を行ってください。本例では4端末までです。
interface Tunnel0.0　　
ppp binding lns
tunnel mode l2tp-lns ipsec
ip unnumbered Loopback0.0
ip tcp adjust-mss auto
ipsec policy transport ipsec-policy
no shutdown
!
interface Tunnel1.0
ppp binding lns
tunnel mode l2tp-lns ipsec
ip unnumbered Loopback0.0
ip tcp adjust-mss auto
ipsec policy transport ipsec-policy
no shutdown
!
interface Tunnel2.0
ppp binding lns
tunnel mode l2tp-lns ipsec
ip unnumbered Loopback0.0
ip tcp adjust-mss auto
ipsec policy transport ipsec-policy
no shutdown
!
interface Tunnel3.0
ppp binding lns
tunnel mode l2tp-lns ipsec
ip unnumbered Loopback0.0
ip tcp adjust-mss auto
ipsec policy transport ipsec-policy
no shutdown

NetAttest EPSの設定はLAN2(管理インターフェイス)に接続して行います。初期IPアドレスとして「192.168.2.1/24」が設定されているため、管理端末に適切なIPアドレスを設定し、ブラウザ画面のアドレスバーから 「http://192.168.2.1:2181/」と入力して設定画面を開いてください。

手順1

管理ページにアクセス後、システム初期設定ウィザードより以下の項目を設定します。
・タイムゾーンと日付/時刻の設定
・ホスト名の設定
・サービスインターフェイスの設定
・管理インターフェイスの設定
・ドメインネームサーバーの設定

手順2

サービス初期設定ウィザードを選択し、下記を設定します。
・CA構築
・LDAPデータベースの設定
・RADIUSサーバーの基本設定（全般）
・RADIUSサーバーの基本設定（EAP）
・RADIUSサーバーの基本設定（証明書検証）
・NAS/RADIUSクライアント設定　
　※「シークレット」はIXルータとの認証に使用するため同じ設定にしてください。
　　本例ではsecretを設定しています。

手順3
管理画面より、ワンタイムパスワードトークンの登録を行います。
トークンを購入すると、トークンのシリアルナンバーが記載されたファイル(DPXファイル)と、DPXファイルをインポートするためのキーコード(転送キー)が提供されます。

「RADIUSサーバー」⇒「VASCO DIGIPASS」⇒「DPXファイルインポート」の順にページを移動し、DPXファイルと転送キーをインポートしてください。

登録後、トークン情報は「トークン一覧」から確認することができます。
下記参考画面のトークンモデル列の「DPG06」はハードウェアトークン、
下記参考画面のトークンモデル列の「MOB35」はソフトウェアトークン(iOS/Andoroid用アプリ)になります。

手順4

ユーザーの登録とワンタイムパスワードトークンの紐づけを行います。
管理画面から「ユーザー」⇒「ユーザー一覧」の順にページを移動し、「追加」ボタンより認証ユーザの登録を行います。

手順5

設定内容を確認します。
トークン一覧の「使用中のユーザーID」に、設定したユーザIDが表示されていることを確認します。
表示されていれば、NetAttest EPSの設定は完了です。

Windows10/iOS/Android端末からVPN接続する際の設定になります。
各端末の設定方法を下記に記載していますので、設定を行ってVPN接続してください。